Hacker gegen die Wand laufen lassen

Wenn Cyberkriminelle SAP-Systeme oder Operational Technology (OT) angreifen

Als omnipräsenter Backbone ist SAP vielerorts für einen reibungslosen Geschäftsablauf notwendig. Gleiches gilt für die Betriebstechnologie. Es liegt also im ureigensten Interesse von Unternehmen, ihre SAP- und OT-Systemlandschaft bestmöglich zu schützen. Doch in der Praxis tun sich meist Lücken auf. Im Mai 2021 haben Hacker Colonial Pipelines als kritische Infrastruktur in den USA angegriffen. Als Folge der Ransomware-Attacke war die Benzinversorgung in einigen Bundesstaaten eingeschränkt. Etwa zeitgleich war ein weiterer Angriff in Florida bekannt geworden. Angreifer sind über eine RDP-Schwachstelle (Remote Desktop Protocol) auf einem Windows-Gerät in die Systeme einer Kläranlage eingedrungen, um sie zu manipulieren. Insbesondere im Versorgungsbereich nehmen Attacken schnell eine neue Dimension an: OT-Ransomware exfiltriert und verschlüsselt Daten nicht nur, sie kann die Kontrolle über kritische Systeme übernehmen. Natürlich sind sich Unternehmen der permanenten Gefahr bewusst. Deshalb beschäftigen sie sich mit Cyber Security und setzen dafür meist die folgenden Expertengruppen ein.

Manager und Nerds

Compliance Manager sorgen dafür, dass Unternehmen sicherheitsrelevante Vorgaben, wie etwa jene des Bundesamts für Sicherheit in der Informationstechnik (BSI), und internationale Standards wie die Norm ISO/IEC 27001 einhalten; Security-Experten sind dafür verantwortlich, cloudbasierte IT-Lösungen in Zeiten von Big Data und künstlicher Intelligenz wirkungsvoll abzusichern; und Hacker-Nerds kennen die neuesten Angriffstechniken und denken darum in Sachen Security einen Schritt weiter.

Doch dieser Dreifach-Ansatz greift oft zu kurz. Denn es reicht nicht aus, wenn sich Expertengruppen losgelöst von allen anderen Prozessen und Teams im Unternehmen auf einer eher theoretischen Ebene mit dem Thema Cyber Security befassen. Vielmehr geht es darum, wie sich das eigene Geschäft effektiv absichern lässt. Um dieses Ziel zu erreichen, müssen Unternehmen SAP- und OT-Sicherheit als Geschäftsprozess verstehen, der alle relevanten Personengruppen im Unternehmen einbezieht. Nur so lassen sich aus der theoretischen (oder strategischen) Sichtweise geeignete praktische Maßnahmen – wie etwa die passende Security-Technologie einzusetzen – ableiten. 

SAP- und OT-Security

Wird Cyber Security als kritischer Geschäftsprozess verstanden, dann ist dieser Ablauf mit Bedacht zu modellieren, mit Metriken zu steuern, mit Tools zu überwachen und kontinuierlich zu optimieren. Ebenso braucht es ein definiertes Risikomanagement, bei dem der Praxisbezug im Vordergrund steht. Hängt etwa der Geschäftserfolg eines Maschinenbauunternehmens maßgeblich davon ab, dass seine Gabelstapler immer funktionstüchtig sind, achtet es darauf, dass immer genügend Schmierstoff vorhanden ist, es hält alle Wartungstermine ein und stellt ausreichend Ersatzfahrzeuge bereit. Genauso sollten Unternehmen in puncto IT-Security stets auf alle Eventualitäten vorbereitet sein.

Interdisziplinäre Security

Um OT- und SAP-Sicherheit langfristig zu gewährleisten, gilt es, Abteilungsgrenzen zu überwinden im Sinne einer prozessorientierten Denkweise und Organisation. Insbesondere müssen Management, IT und Produktion zu einem interdisziplinären Austausch finden. Denn manchmal fehlt dem Management die genaue Vorstellung davon, wie wichtig SAP- und OT-Sicherheit für einen reibungslosen Geschäftsbetrieb sind. Die IT-Abteilung kann dabei helfen, dieses Verständnis zu vermitteln. Ganz besonders wichtig ist die Perspektive der Blue Collar Worker, der Mitarbeitenden in der Produktion. Denn diese wissen ganz genau, wie sich ein möglicher Stillstand von Maschine A auf Fertigungslinie B auswirkt.

Neben einem strategischen Verständnis von der Relevanz der OT- und SAP-Sicherheit sowie einem fachbereichsübergreifenden Dialog braucht es leistungsstarke Security-Lösungen. In den vergangenen Jahren hat sich die Technologie wesentlich weiterentwickelt: von der Netzwerkanalyse über die systemübergreifende Detection bis hin zur Plattform-Sicherheit.

Noch vor einiger Zeit war es üblich, das Netzwerk zu analysieren und Log-Dateien mit einem SIEM-System (Security Information and Event Management) zu korrelieren, um Hinweise auf mögliche Bedrohungen zu erhalten – eine reine Detection-Maßnahme. Zwar lässt sich aus den Korrelationsergebnissen eine zielgerichtete Response ableiten, aber nicht direkt umsetzen. Da die Datenübertragung heute meist verschlüsselt erfolgt, sind alleinige Netzwerkanalysen nicht mehr State of the Art.

Um sensorische Daten aus unterschiedlichen Quellen zu verarbeiten, haben sich mit Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) zwei neue Methoden etabliert. Mit einem EDR-Tool lassen sich Ereignisse, wie etwa eine Nutzeranmeldung, das Öffnen einer Datei und aufgebaute Netzwerkverbindungen, auf Endgeräten wie PCs, Notebooks, Tablets und Smartphones aufzeichnen. Darüber hinaus erlaubt XDR, Daten über mehrere Angriffsvektoren hinweg, wie etwa E-Mails, Identitäten, Geräte, Server, Cloud-Workloads und Netzwerke, automatisch zu erfassen und zu verknüpfen.

Wenn immer mehr Daten und Systeme in der Cloud liegen, ist es nur logisch, wirkungsvolle Security-Maßnahmen direkt dort umzusetzen. Dabei haben sich die Plattform-Lösungen der etablierten Hyperscaler bewährt. Insbesondere Microsoft bietet eine vollumfängliche Security-Produktpalette mit einer Vielzahl an vorgefertigten Komponenten, die sich einfach in Betrieb nehmen und für individuelle Unternehmenszwecke bedarfsgerecht konfigurieren lassen: vom Schutz der Anwender (PCs, Identitäten und E-Mails) über die Absicherung verschiedener Betriebsszenarien (eigene Server, On-Premises im Rechenzentrum sowie Azure-, Google- oder AWS-Cloud) bis hin zu speziellen Anwendungsfällen wie OT- und SAP-Sicherheit. Hinzu kommt, dass solche Plattformen sehr viel effizienter zu integrieren sind als Einzellösungen.

Plattform-Sicherheit

Wenn man bedenkt, wie komplex so manche SAP-Landschaft ist und wie abhängig Produktions- und Versorgungsunternehmen von ihrer Betriebstechnologie sind, ist Plattform-Sicherheit ein wirkungsvoller Ansatz. Heutzutage ist Lateral Movement eine wesentliche Schlüsseltaktik von Advanced Persistent Threats (APTs): Hacker dringen zum Beispiel über eine Phishing-Attacke in eine kritische IT-Infrastruktur ein und verschaffen sich mithilfe der abgegriffenen Daten immer mehr Berechtigungen, indem sie ein System nach dem anderen kompromittieren oder infizieren. So könnten Angreifer etwa über ein Modem in der Produktionshalle Zugriff auf die Enterprise-IT erhalten und Festplatten verschlüsseln – was Firmen besonders hart treffen würde: nämlich bei ihren gewinnbringenden Kernprozessen.

Unternehmen haben also keine andere Wahl, als die Sensorik systemübergreifend zu verknüpfen und Alerts rund um die Uhr zu überwachen. Alternativ können sie die Managed Detection & Response Services eines spezialisierten Cyber Security Defense Center (CSDC) beziehen. Im Zentrum steht das Microsoft Threat Monitoring for SAP. Über einen Sensor lassen sich Daten aus komplexen SAP-Landschaften konsolidieren, sodass sie im Cloud-nativen SIEM-System Microsoft Sentinel für die weitere Verarbeitung bereitstehen. Nachdem der Sensor mit verschiedenen SAP-Log-Quellen verbunden ist, erfasst er alle Daten, die über eine API zwecks Korrelation und Auswertung in Sentinel fließen. Erkennt das Tool eine Bedrohung, generiert es entsprechende Alerts. Dabei bilden standardisierte Regeln die Grundlage für (teil)automatisierte SOAR-Prozesse (Security Orchestration, Automation and Response): Geht ein Alarm ein, erfolgt eine KI-basierte Analyse der erfassten Ereignisdaten. Je nach Art des Angriffs setzen sich dann vorab definierte Response-Maßnahmen in Gang.

SAP und OT zuverlässig schützen

Cybercrime ist für Kriminelle ein lukratives Business, dessen Folgen weit über wirtschaftliche Aspekte für betroffene Firmen hinausgehen können. Gerade im Bereich kritischer Infrastrukturen können sich Angriffe zur ernsthaften Bedrohung entwickeln. Und auf diese reale Bedrohung müssen Unternehmen besser vorbereitet sein. Dafür muss sich zum einen die Unternehmenskultur ändern: Es darf keine Gräben zwischen den Abteilungen geben, es braucht eine interdisziplinäre Zusammenarbeit. Zum anderen sind insbesondere KRITIS wie Wasser- und Elektrizitätswerke gefordert, den praktischen Geschäftsbezug ihrer IT sowie OT zu verinnerlichen und notwendige Schutzziele nicht nur abzuleiten, sondern auch umzusetzen. Nicht zuletzt für versorgungsrelevante Systeme und Infrastrukturen gilt: Es ist möglich, sie gut zu schützen. Doch dafür ist es notwendig, Cyber Security als Geschäftsprozess zu verstehen und konsequent umzusetzen.

Die 3 Ebenen der OT-Sicherheit

Brownfield-IT: In einer Fabrik mit alten Maschinen sind Netzwerk-analysen zumeist das einzige
probate Mittel.

Greenfield-IT: Unternehmen, die neue IT-Systeme launchen, können die erforderlichen Security-Funktionen direkt integrieren.

Enterprise-IT: In Zeiten des Internet of Things (IoT) mit intelligenten Geräten wie Konferenzbildschirmen, Aufzügen und Kaffeemaschinen sind jegliche Daten, Systeme und Geräte effektiv abzusichern.